Zerodium publicó los detalles de la vulnerabilidad que estaba presente en la extensión de Firefox NoScript (incorporada al navegador Tor), que evita que las páginas web ejecuten JavaScript, Flash o Silverlight.
Aunque se supone que NoScript bloquea todo el JavaScript en su nivel de seguridad "más seguro", existe una puerta trasera que los atacantes pueden aprovechar para suprimir NoScript y ejecutar códigos maliciosos de todos modos.
Sin embargo, esta vulnerabilidad se puede explotar en Tor Browser 7.x y no en Tor Browser 8.x recientemente publicado, donde en este último ya se ha solucionado.
El motivo es el cambio de la base de código de Tor del antiguo núcleo de Firefox a la nueva plataforma Firefox Quantum. Las nuevas API complementarias protegen la versión 8 de esta vulnerabilidad.
Además, el complemento NoScript se reescribió el año pasado para hacerlo compatible con la nueva plataforma Firefox Quantum. Esta es la razón por la cual el exploit no funciona en la nueva serie Tor Browser 8.x.
Tras la revelación de Zerodim, la compañía ha lanzado una versión de NoScript "Classic" 5.1.8.7 que soluciona la vulnerabilidad.
Mientras tanto, Tor Project ha emitido un comunicado oficial a ZDNet:
"Es un error en NoScript y no una explotación del navegador Tor que elude sus protecciones de privacidad. Aún así, se necesita un exploit para el navegador".
Sin embargo, es aconsejable que los usuarios de Tor instalen la actualización de NoScript o cambien a Tor Browser 8.x para una mejor seguridad.
¿Qué es Tor Browser?
El software Tor protege al navegante de que sea rastreado, es decir, mantiene la privacidad con total seguridad.
Tor Browser te permite usar Tor en Microsoft Windows, Apple MacOS o GNU / Linux sin necesidad de instalar ningún software. Se puede ejecutar desde una unidad flash USB, viene con un navegador web preconfigurado para proteger su anonimato y es autónomo (portátil).